[Hack In Paris] BYOD – The Privacy and Compliance Risks from Bringing Your Own Mobile Device to Work

Banniere_HIPDans un monde où les appareils mobiles sont de plus en plus répandus, et de plus en plus puissants, il est logique qu’ils soient de plus en plus au centre de nos préoccupations en terme de sécurité.

En ce sens, une grande partie des conférences lors de la Hack In Paris leur était consacrée.

Durant sa conférence, Winn SCHWARTAU nous présente les risques soulevés par une politique d’entreprise de plus en plus répandue : BYOD ou « Bring Your Own Device ».

BYOD : Qu’est-ce que c’est ?

BYOD, pour “Bring Your Own Device” (ou comme l’a ironisé Winn, “Break Your Own Data”) est une politique d’entreprise qui s’est fortement répandue ces dernières années suite à la démocratisation des Smartphones chez le grand publique.

Cette politique consiste à utiliser votre propre téléphone personnel comme outil de travail.

Ce qui signifie :

  • Un accès au réseau interne
  • Un accès aux mails internes
  • Un accès aux données
  • Et potentiellement, un stockage de ces données sur l’appareil lui-même

Cette politique a pris tellement d’ampleur que, d’après Winn, il est pratiquement impossible désormais de recruter quelqu’un si on ne la propose pas (et que, par exemple, on impose à la place l’utilisation d’un Blackberry dédié).

Cet attachement, quant à l’utilisation de son propre téléphone, vient du fait que bon nombre d’entre nous avons personnalisé nos téléphones, avec nos applications préférées auxquelles nous sommes habitués et dont on ne souhaite plus être séparé.

Manque de contrôle

Cette multiplication des accès entraîne progressivement des situations aberrantes en terme de sécurité de l’information.

En effet, certaines entreprises ayant mis en place cette politique sont incapables de savoir à un instant T qui est connecté à leur réseau, et qui fait quoi avec leurs données.

Inversement, les téléphones dialoguant constamment sur différents canaux (3G/4G, Wifi, Bluetooth …), il est quasi-impossible pour un utilisateur de savoir précisément quelles données transitent entre son appareil et le monde extérieur.

Vulnérabilité des appareils

L’autre principal souci se situe au niveau des appareils eux-même.

D’une part, leur aspect mobile les rend facile à perdre ou à voler. Statistiquement, il y a 25% de chance pour que vous perdiez votre portable avant la fin de l’année. Cela représente des millions de portables qui se perdent dans la nature chaque année, avec toutes les données qu’ils contenaient.

D’autre part, nos téléphones sont, comme leurs cousins éloignés les PC, de plus en plus ciblés par différents virus, malwares et autre chevaux de Troie. Il suffit d’une simple recherche sur Google pour trouver des milliers d’articles relatant les méfaits de l’un ou l’autre malware sur nos téléphones. Au même titre que les OS pour PC, Android, iOS et Windows Mobile 8 ont eux aussi des failles que certaines personnes d’intentions discutables sont ravis d’exploiter.

Cela est d’autant aggravé par le fait que de nombreux utilisateurs root ou jailbreak leur téléphone, créant ainsi volontairement de nouvelles failles, ou faisant sauter les processus supposés assurer la sécurité de leurs données.

Outils de sécurisation insuffisants

Bien sûr, il existe des solutions permettant d’apporter une meilleure sécurité.HIP_BYOD_secure_tools

Le premier type de solution est d’utiliser un MDM, ou « Mobile Device Manager ». Il s’agit d’un outil mis en place par les entreprises qui a pour but de centraliser les informations et d’administrer les appareils utilisés dans le cadre de BYOD. En parallèle, une série d’outils (mail, navigateur web, vpn, etc) sont installés sur le téléphone.

L’autre solution est la Sandbox. Comme son nom l’indique, cela consiste à ce que toutes les opérations relatives au domaine professionnel se fassent dans un environnement sécurisé, ne communiquant que des informations cryptées et séparées de la partie privée du téléphone.

Ces deux solutions sont intéressantes sur le principe, car elles permettent de s’assurer une sécurisation des interactions avec le réseau et les données de l’entreprise, d’une part, et d’éviter les interactions entre le monde « privé » et le monde « professionnel » du téléphone.

Cependant elles comportent quelques problèmes.

Tout d’abord, ces applications sont encore jeunes, et comportent des failles. Ces deux types de solutions ont déjà été craquées. D’ailleurs, l’une des autres conférences de la journée s’intéressait de près à la sécurité de deux MDM. La conclusion, je cite : « Il est clair que la sécurité n’était pas une priorité lors des développements ».

Mais le plus grave c’est surtout que cette « sécurité » repose sur l’utilisateur. Et pour l’utilisateur, la première préoccupation ce n’est pas la sécurité, mais le confort d’utilisation. C’est d’ailleurs la raison même de l’arrivée de BYOD.

L’aspect juridique

Le dernier aspect, clairement oublié lors de la mise en place de BYOD, est le coté juridique.

Imaginons que le SI de la société se fasse pirater, et que pour des raisons évidentes de sécurité, la société réclame que vous leur retourniez votre téléphone. Ça semble logique après tout, c’est un outil de travail connecté directement au réseau de l’entreprise.

Mais d’un autre coté, c’est aussi votre téléphone personnel, que vous avez payé avec votre propre argent, et dont vous n’avez probablement pas du tout envie de vous séparer.
Qui a gain de cause dans ce cas ?

Et si cette faille de sécurité de votre entreprise entraîne la perte ou la corruption de vos données personnelles stockées sur le téléphone. C’est la faute de l’entreprise, non ? La société a-t-elle devoir d’apporter réparation ou de restituer les données détruites ?

Ce sont des situations qui pourraient rapidement mener à de nombreuses poursuites judiciaires, dont aucune entreprise n’a envie.

Enfin, avec l’utilisation d’un téléphone personnel comme outil professionnel, on devient alors joignable à tout moment par son employeur, avec tous les travers que cela peut impliquer.

Conclusion

En conclusion, BYOD c’est :

  • Des risques de sécurité accrus à la fois pour les entreprises et la vie de privée de leurs employés
  • L’obligation de multiplier l’utilisation de solutions externes, coûteuses, et elles-même faiblement sécurisées
  • Des risques légaux et judiciaires supplémentaires

Tout ça alors qu’au final, il serait beaucoup plus simple d’utiliser deux appareils distincts.
Est-ce que le confort d’utiliser son propre téléphone comme outil professionnel en vaut vraiment la peine ?

Liens & ressources utiles :

Nombre de vue : 30

AJOUTER UN COMMENTAIRE